デジタルテクノロジの活用を推進したい企業にとって、人工知能(AI)やセキュリティなどの分野に秀でた人材の獲得は、非常に難しい課題だ。組織が必要とするスキルは多岐にわたるが、それらのスキルを有する人材をそろえ、チームで目的に取り組むことが現実的な対応となる。米McAfeeでAdvanced Threat Research(ATR)チームを率いるSteve Povolny氏にそのポイントを聞いた。
多様性の確保がカギ
McAfee Advanced Threat Research責任者のSteve Povolny氏
ATRチームは、未知の脆弱性の悪用や新種マルウェアといった、まだ世にほとんど知られていないサイバー攻撃などの脅威を調査・研究する部門だ。Povolny氏は、米国の大手流通企業でネットワークセキュリティ調査の担当としてキャリアをスタートさせ、いくつかのセキュリティ企業を経て、現在はチーム責任者と主に脆弱性の調査・研究を担当している。
米国におけるセキュリティ人材の需要は非常に旺盛であり、大学など教育機関における若手育成の体制が進み、企業や政府機関などでの活躍の場は多い。日本に比べてセキュリティ人材は潤沢に映るが、Povolny氏によれば、同社のような専業ベンダーでも高度なスキルを持つ人材の獲得は容易ではないという。
その理由は、ATRの目的の特殊性にもある。多くのセキュリティ対応は、既知の脅威に対する防御策の的確な実施がポイントになるが、ATRでは、これから脅威となり得る潜在的な兆候を見つけ、そこからどのような攻撃が実施されるのかを予見する。同氏は、前者を「Defensive Security」、後者を「Offensive Security」と表現する。
「Offensive Securityを担う人材は、潜在的な脅威についてリバースエンジニアリングといった手法を用いて解析し、それをどのように悪用(エクスプロイト)するのかを明らかにする。ハードウェアやソフトウェア、OS、ネットワークに関する深い理解、攻撃者視点による解析と手法の分析、その悪用による被害と対策を導き出す。それらの専門スキルを兼ね備える“超人”はなかなかいない」
そこでATRにおける人材の採用では、(1)ソフトウェア開発経験、(2)ネットワークの知識、(3)リバースエンジニアリングなどサイバー攻撃者の視点――を基本的な要件スキルとし、いずれかのスキルに強みを持つ複数の人材でチームを組成、日々の活動に当たっている。
「スキルの異なる人材が互いに協力し合う相互補完の関係により、メンバーが足りないスキルを新たに身に付けていくこともできる。多様性が重要であり、メンバーの国籍も多彩だ。チーム一丸となってミッションを果たすことがモチベーションになっている」
セキュリティのやりがい
次々に出現する脅威に対応し続けるというセキュリティの仕事は、一見すれば、世にない新しいモノやコト、価値を生み出す仕事に比べて後ろ向きで辛いように映り、なり手がいないという見方もなされる。しかしPovolny氏は、社会に必要とされ、経営にも貢献できるエキサイティングな仕事だと言い切る。
「この仕事をするモチベーションは給料ではない。グローバルな仕事であり、対峙する脅威は常に変わるので刺激がある。脅威から世界中の人や組織を守り、意識変革を働きかけ、より安全な社会の実現に貢献している。また(セキュリティ事業の会社として)独特かもしれないが、ATRの取り組みは、これから目指すべき経営の方向性を判断することにもつながっている」
Povolny氏自身、現在はチームとしてのATRの活動をより強力な存在にしていくことが最大のモチベーションになっているという。
同氏がキャリアをスタートさせた会社は、同氏が退職した後に個人情報の漏えい事件が発生し、世間から大きな非難を集めた。「周囲には、『私が辞めたから事件が起きたわけではない』と冗談で言っているが、退職の理由は、当時の会社があまりにもセキュリティに取り組まず、現場で非常に不満を感じていたからだった」という。
企業が必要とする人材が既にいても、その能力を発揮できる場がなければ、やはり大きな損失につながる。人材を生かすチーム作りやモチベーション獲得の環境がポイントになる。
